Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Exigences de cybersécurité du DoD : Conseils pour la conformité

Exigences de cybersécurité du DoD : Conseils pour la conformité

Sep 28, 2022

Les systèmes informatiques et les données du Département de la Défense (DoD) et de son réseau de contractants sont une question de sécurité nationale. Par conséquent, le DoD maintient des exigences de cybersécurité que les organisations doivent respecter afin d'être un fournisseur approuvé pour le DoD.

Cet article offre un aperçu des documents les plus pertinents qui informent les attentes en matière de cybersécurité du DoD pour les organisations de la base industrielle de la défense (DIB), un examen des cadres utiles et des conseils pour la mise en œuvre des exigences du DoD.

Contenu connexe sélectionné :

Quelles sont les exigences de cybersécurité du DoD ?

Les exigences pour la cybersécurité peuvent être trouvées dans les trois documents suivants, qui se soutiennent et se référencent mutuellement :

  • Supplément de la réglementation fédérale d'acquisition de la défense (DFARS) — L'article 252.204-7012 décrit les attentes en matière d'hygiène cybernétique pour les organisations de la Base industrielle de la défense (DIB).
  • NIST 800-171 — Basé sur le DFARS, NIST 800-171 fournit des directives détaillées pour que les entreprises évaluent leurs pratiques de cybersécurité.
  • CMMC — Le CMMC offre un plan clair pour que les organisations DIB obtiennent la certification d'hygiène cybernétique requise pour être un fournisseur approuvé du DoD.

DFARS

DFARS énonce les exigences pour les entreprises qui font affaire avec le Département de la Défense. La cybersécurité est couverte sous la clause 252.204-7012, « Protection des informations de défense couvertes et rapport d'incident cybernétique. »

Quels types de données doivent être protégés ?

Les exigences de cybersécurité du DoD protègent deux principaux types de dossiers numériques et physiques : les informations non classifiées contrôlées (CUI) et les informations sur les contrats fédéraux (FCI)

CUI comprend ce qui suit :

  • Informations personnellement identifiables (PII)
  • Informations Commerciales Propriétaires (PBI)
  • Informations Techniques Contrôlées Non Classifiées (CTI)
  • Pour usage officiel uniquement (FOUO)

FCI comprend les détails d'un contrat entre le gouvernement et une organisation. FCI n'inclut pas les informations qui sont déjà de connaissance publique (comme celles sur les sites web gouvernementaux) ou les informations transactionnelles. PCI n'est jamais destiné à être divulgué au public.

Les organisations qui souhaitent travailler avec le DoD doivent être capables d'identifier les CUI et FCI qu'elles stockent et traitent, afin de les protéger conformément aux exigences du DoD.

Qui doit être conforme ?

Alors que les normes du DoD fournissent des directives utiles pour la cybersécurité en général, elles constituent une exigence pour certaines entreprises. Tout contractant travaillant avec le DoD qui stocke, traite ou diffuse des CUI doit se conformer aux normes DFARS. Cela inclut l'assurance que toutes les données non classifiées du DoD sont protégées par des mesures de sauvegarde appropriées, la minimisation des vulnérabilités du système et des conséquences potentielles d'une violation, et la mise en œuvre de bonnes pratiques de rapport d'incident.

NIST 800-171

En réponse au DFARS, l'Institut national des normes et de la technologie (NIST) a développé le NIST 800-171 pour fournir une ventilation détaillée des meilleures pratiques d'hygiène cybernétique. Plus précisément, le NIST 800-171 est conçu pour aider les entrepreneurs du DoD à protéger les données CUI. Il ne couvre pas la protection des données FCI.

Familles de contrôles NIST 800-171

NIST 800-171 divise les contrôles de sécurité en les 14 familles suivantes :

1. Contrôle d'accès

Surveillez tous les événements d'accès au sein d'un système et limitez l'accès de chaque utilisateur aux systèmes et aux données au strict nécessaire pour effectuer leur travail.

2. Sensibilisation et formation

Assurez-vous que le personnel reçoit une formation suffisante sur les politiques, pratiques et risques de sécurité appropriés à leur privilège d'accès. Formez régulièrement les utilisateurs afin qu'ils soient prêts à répondre aux menaces.

3. Audit et Responsabilité

Maintenez des journaux d'audit appropriés, des pratiques de gestion des journaux et des rapports d'audit. Limitez l'accès aux systèmes d'audit.

4. Gestion de la configuration

Configurez le matériel et les logiciels pour restreindre l'accès aux fonctionnalités et programmes non essentiels et empêcher l'installation de logiciels non autorisés.

5. Identification et Authentification

Prévenez l'utilisation non autorisée des systèmes en mettant en œuvre une authentification multifacteur (MFA) et des politiques de mots de passe robustes.

6. Réponse aux incidents

Développez et testez des procédures pour garantir la détection et la réponse rapides aux menaces.

7. Maintenance

Effectuez la maintenance du système pour prévenir la divulgation de CUI. Surveillez les employés, empêchez l'utilisation hors site des appareils contenant des CUI et vérifiez la présence de code malveillant dans les supports.

8. Protection des médias

Contrôlez l'accès, la protection et l'élimination des supports contenant des CUI. Utilisez la cryptographie pour protéger les données numériques.

9. Protection physique

Prévenez les dommages physiques au matériel, aux logiciels, aux réseaux et aux données en limitant l'accès et en maintenant des journaux d'audit

10. Sécurité du personnel

Surveillez l'activité des utilisateurs, en particulier lors des changements de personnel.

11. Évaluation des risques

Effectuez des tests de vulnérabilité des systèmes et évaluez fréquemment les risques potentiels pour votre organisation.

12. Évaluation de la sécurité

Définissez les limites du système et mettez en œuvre un plan pour réduire les vulnérabilités. Affinez régulièrement les exigences de sécurité.

13. Protection des systèmes et des communications

Sécurisez la communication des informations confidentielles non classifiées (CUI). Utilisez des réseaux ou sous-réseaux séparés pour les informations non protégées, et configurez les paramètres par défaut pour refuser les communications réseau (liste blanche).

14. Intégrité du système et de l'information

Identifiez rapidement les failles du système. Répondez immédiatement aux violations de sécurité et aux erreurs système. Mettez à jour le logiciel de sécurité dès que de nouvelles versions sont disponibles.

Plus de détails sur les contrôles NIST 800-171 peuvent être trouvés ici.

Contenu connexe sélectionné :

Mises à jour du NIST

NIST 800-171 a été créé en 2015 et reçoit des mises à jour périodiques. À chaque mise à jour, les entrepreneurs disposent d'un délai déterminé pour se conformer aux nouvelles réglementations ou risquent de perdre leur statut de fournisseur approuvé auprès du DoD.

CMMC

Alors que la DFARS clause définit les meilleures pratiques pour la cybersécurité d'entreprise, la Cybersecurity Maturity Model Certification (CMMC) évalue la qualité des programmes de cybersécurité d'une organisation et fournit un ensemble de certifications attestant de cette qualité. Ces certifications normalisent l'approbation des fournisseurs du DoD. Les certifications CMMC s'appliquent aux données FCI et CUI.

À qui s'applique le CMMC ?

Les normes CMMC s'appliquent à toutes les organisations qui reçoivent des fonds du DoD pour mener des affaires ou fournir des services. Désigné sous le complexe industriel de la défense, cela inclut plus de 300 000 organisations qui fournissent des biens ou des services pour le DoD.

Chronologie CMMC

Pratiquement toute personne ayant suivi l'évolution du CMMC a des questions sur le calendrier. Après la version 1.0 et les « règles intérimaires » pour le CMMC, la deuxième version de la certification a été publiée en novembre 2021. Cependant, elle n'est pas encore entrée en vigueur ; le CMMC 2.0 est toujours en cours de processus réglementaire, ce qui pourrait prendre jusqu'à deux ans.

Cela ne signifie pas que les normes de certification ne devraient pas être une priorité pour les entreprises. Les entrepreneurs donnent la priorité à la conformité avec les nouvelles normes au sein de leurs chaînes d'approvisionnement dans l'espoir de prendre de l'avance. La conformité avec CMMC 2.0 alignera également votre entreprise sur les directives NIST 800-171.

Niveaux de conformité CMMC

Le DoD a effectué plusieurs changements entre CMMC 1.0 et 2.0 pour simplifier les niveaux de conformité. La première version comportait cinq niveaux avec des normes d'évaluations variables. Dans la version 2.0, il existe trois niveaux de conformité CMMC, en fonction du type de données et de l'intensité du contrat avec le DoD. Les différents niveaux ont des attentes différentes en matière d'évaluations. Référez-vous au tableau ci-dessous pour plus de détails sur les niveaux de conformité CMMC 2.0.

Niveau

Type d'évaluation

Qui doit se conformer

Niveau 1. Fondamental

Annuaauto-évaluationslles auto-évaluations

Les entreprises traitant uniquement des FCI

Niveau 2. Avancé

Des évaluations par des tiers tous les trois ans et des auto-évaluations par des tiersévaluations annuelles

Les entreprises qui gèrent des informations confidentielles non classifiées

Niveau 3. Expert

Des évaluations supplémentaires menées par le gouvernement tous les trois ans

Spécifié dans les contrats individuels du DoD

Comment se conformer au CMMC

Se conformer au CMMC nécessite le respect des 17 ensembles de normes. Cela inclut les 14 familles de contrôles de NIST 800-171 examinées ci-dessus et les trois groupes supplémentaires suivants :

Zone supplémentaire

Description

Récupération

Créez un plan de récupération en cas de fuite de données ou de perte.

Conscience situationnelle

Comprenez votre environnement informatique afin d'apprendre efficacement sur les cybermenaces et d'y répondre de manière appropriée.

Gestion des actifs

Identifiez les actifs, en particulier les données CUI, et définissez vos procédures pour la manipulation et la classification de ces actifs.

Pour obtenir de l'aide, téléchargez cette CMMC compliance starter checklist.

Cadres DoD

En tant que DSI adjoint ou RSSI pour une organisation affiliée au DoD, vous pouvez trouver les exigences du DFARS, du NIST et du CMMC accablantes. Mais une multitude de ressources sont disponibles pour vous aider à atteindre la conformité en matière de cybersécurité du DoD, telles que cette compilation de matériel de référence. Ci-dessous, nous fournissons des ressources utiles pour vous aider avec de nombreux aspects critiques de la conformité.

Développer une stratégie de cybersécurité

Les organisations devraient créer une stratégie de cybersécurité sur 4 à 5 ans qui leur permet de modifier les processus et de mettre en œuvre des contrôles. Les ressources suivantes peuvent vous aider à créer une stratégie de cybersécurité solide :

Construire des réseaux défendables

Construire un réseau défendable nécessite la mise en œuvre de la surveillance, de l'automatisation, de la détection des menaces et des outils et processus de réponse aux incidents. Les ressources suivantes peuvent aider :

  • FIPS 199 — Fournit des catégories standardisées pour les systèmes d'information fédéraux en fonction de leur niveau de risque, ce qui peut vous aider à établir des priorités pour votre stratégie de sécurité
  • FIPS 200 – Définit les exigences de sécurité minimales en fonction du niveau de risque de l'information et explique le processus de sélection des contrôles de sécurité basé sur le niveau de risque de vos informations
  • NIST SP 800-53 — Fournit un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information fédéraux et les organisations ainsi qu'un processus de sélection des contrôles appropriés

Établissement de la protection des infrastructures critiques

La protection des infrastructures critiques (CIP) fait référence à une stratégie globale de création de systèmes, réseaux et bases de données résilients. Cela inclut la prévention des dommages et la protection des données ainsi que l'atténuation des incidents, la réponse et la récupération. Il existe de nombreuses ressources pour les plans et politiques de CIP qui peuvent soutenir les DSI et les RSSI. Par exemple, les normes ISA/IEC 62443 fournissent des outils de sécurité et des meilleures pratiques pour les propriétaires d'actifs, les prestataires de services et les fournisseurs.

Gestion des accès

Les ressources suivantes peuvent vous aider à gérer correctement l'accès à vos données, applications et autres actifs informatiques :

  • NIST SP 800-60 — Informe les pratiques de gestion des accès en fournissant des directives pour catégoriser les informations comme CUI et contrôler qui y a accès
  • NIST SP 800-133 — Vous aide à protéger les données sensibles en utilisant des algorithmes cryptographiques approuvés

Partage d'informations

Partager des informations sur les cybermenaces et les attaquants est crucial pour renforcer la cybersécurité. Les ressources suivantes peuvent aider.

  • DoD Cyber Exchange — Fournit des orientations et des formations pour les professionnels de la cybersécurité à l'intérieur et à l'extérieur du DoD

Construire une main-d'œuvre en cybersécurité

Les ressources suivantes peuvent vous aider dans l'intégration, la qualification et la gestion des personnes travaillant dans l'informatique ou la cybersécurité :

  • NIST SP 800-16 — Fournit des concepts pour la formation en sécurité informatique dans le cyberespace moderne tout en permettant une flexibilité pour les logiciels et technologies futurs
  • NIST SP 800-100 — Fournit des orientations aux gestionnaires pour établir un programme de sécurité de l'information

Conseils pour rester sécurisé sur le cyberespace

Le Centre national d'intégration de la cybersécurité et des communications (NCCIC) a compilé sept stratégies clés pour commencer à se conformer aux normes d'hygiène cybernétique du DoD :

  • Utilisez la liste blanche d'applications (AWL) — Définissez une liste de logiciels approuvés et bloquez tout le reste. Cela est bien plus efficace que d'essayer de mettre sur liste noire chaque application indésirable.
  • Pratiquez une gestion appropriée de la configuration et des correctifs — Mettez en œuvre des configurations de base sécurisées et corrigez rapidement toute dérive. Assurez-vous que les mises à jour critiques sont appliquées en temps opportun.
  • Renforcez la sécurité de votre réseau — Minimisez les points d'entrée potentiels pour les attaquants et segmentez votre réseau en plusieurs enclaves pour mettre les attaquants en quarantaine.
  • Mettez en œuvre l'authentification multifactorielle — Utilisez l'MFA, en particulier pour les comptes avec un accès privilégié aux CUI.
  • Accès à distance sécurisé — Contrôlez l'accès à distance en utilisant l'authentification multifacteur et des normes contrôlées par l'opérateur et limitées dans le temps. Recherchez régulièrement des portes dérobées cachées qui pourraient permettre aux attaquants d'obtenir un accès à distance à un système.
  • Surveillez constamment les systèmes — Pour accélérer la détection des menaces et la réponse et assurer la responsabilité, mettez en œuvre une surveillance continue avec l'intelligence des menaces pour le trafic IP aux frontières des ICS, le trafic IP à l'intérieur du réseau et l'activité des comptes administrateurs.
  • Mettez en place et testez régulièrement un plan de réponse aux incidents — Créez un plan de réponse complet pour les incidents de sécurité. Les actions de réponse peuvent inclure la déconnexion de tous les appareils d'Internet, la désactivation de comptes spécifiques, l'isolement de segments de réseau, la réalisation d'une recherche de logiciels malveillants et l'exigence immédiate d'une réinitialisation de mot de passe. Testez et révisez le plan périodiquement.
  • Développez une carte de score de cybersécurité selon les normes et cadres du DoD — Une carte de score vous aidera à mesurer votre progression vers une cybersécurité renforcée.

Comment Netwrix peut aider

Atteindre et maintenir la conformité avec les normes de cybersécurité du DoD est nécessaire pour figurer sur la liste des fournisseurs approuvés par le gouvernement. Netwrix solutions offrent une approche holistique aux défis de la cybersécurité en sécurisant votre organisation sur toutes les principales surfaces d'attaque : les données, l'identité et l'infrastructure.

Découvrez-en plus sur nos meilleures solutions :

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Kevin Joyce

Directeur de Product Management

Directeur de Product Management chez Netwrix. Kevin a une passion pour la cybersécurité, en particulier pour comprendre les tactiques et techniques utilisées par les attaquants pour exploiter les environnements des organisations. Avec huit ans d'expérience en gestion de produit, se concentrant sur la sécurité d'Active Directory et de Windows, il a utilisé cette passion pour aider à développer des solutions permettant aux organisations de protéger leurs identités, infrastructures et données.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité